IT Security

ESXi Vulnerability - Ransomware CVE-2019-5544, CVE-2020-3992

05.02.2021

by Morris Suter

Von VMware gibt es schon seit längerem zwei bekannte Sicherheitslücken, die die Implementation von OpenSLP in den VMware Produkten betreffen. Das Positive ist, für beide Sicherheitslücken gibt es bereits entsprechende Security-Updates, welche diese Lücken wieder schliessen. Somit kann durch das Patchen des ESXi diese Angriffsmöglichkeit geschlossen werden.

Die Sicherheitslücken können ausgenutzt werden, um Ransomware über den ESXi einzuschleusen. Nun wurde das erste Mal öffentlich bekannt, dass diese Sicherheitslücken von Hacker-Kollektiven, namentlich RansomEXx (a.k.a. Defray777), aktiv ausgenutzt wurden um VM’s von Firmen zu verschlüsseln. Ebenfalls wurde bekannt, dass gewisse Ransomware Software, wie beispielsweise BabukLocker, bereits diese Lücken zur Ausnutzung in Ihrem Framework integriert haben.

Angriffsmöglichkeit:

Wenn Angreifer bereits Zugriff auf das Kundennetzwerk haben, kann diese Sicherheitslücke dazu verwendet werden, um Zugriff auf den ESXi Server zu erlangen. Nachdem die Angreifer Zugang zum ESX erlangt haben, können Sie diesen dazu verwenden, um die VMs herunterzufahren und anschliessend die VMDK Files (virtuellen Festplatte der VM) zu verschlüsseln. So findet der Ransomware Angriff nicht wie gewöhnlich im Gast OS, sondern direkt auf ESXi Level und den Festplatten der virtuellen Maschinen, statt.

Achtung!: Man braucht keinen Zugang zum vCenter um diese Lücke auszunutzen. Das vCenter hat keinen Einfluss auf diesen Bug.

Die Advisories von VMware dazu sind hier zu finden:
https://www.vmware.com/security/advisories/VMSA-2019-0022.html

https://www.vmware.com/security/advisories/VMSA-2020-0023.html

Folgende Tabelle zeigt welche Versionen betroffen sind und ab welchem Build die Lücke geschlossen ist:

Major Version:	Sicherheitslücke geschlossen ab:
ESXi 6.5.0	17097218 (6.5 Update 3 EP 22)
ESXi 6.7.0	17098360 (6.7 Update 3 EP 17)
ESXi 7.0.0	17119627 (7.0 Update 1a)
VCF ESXi 4.X	4.1.0.1
VCF ESXi 3.X	3.10.1.2

Lösung:
Um die beiden Sicherheitslücken zu schliessen, müssen die ESXi Server mindestens auf die entsprechenden Releases aus der Tabelle aktualisiert werden. Sobald die Updates auf den ESXi Servern installiert sind, sind die Lücken geschlossen. Wir empfehlen somit die betroffenen ESXi Server möglichst zeitnah zu aktualisieren.

Anfrage

Jetzt anmelden

Digital Workspace

Microsoft Copilot

16.01.2024

Wir freuen uns, Ihnen mitteilen zu können, dass Copilot nun auch als (CSP) für Kunden aller Grössen verfügbar ist. Alle sprechen darüber, alle wollen es, aber nur die wenigsten sind auf das vorbereitet. Diejenigen, die sich jetzt richtig vorbereiten, werden in naher Zukunft die vollen Features nutzen können und gegenüber den anderen die Nase vorn haben. Mit einer Business Premium einer E3 oder E5 Lizenz sind Sie bestens ausgestattet und aus Sicht der Lizenzen eigentlich startklar.

⟶

TQMi-Blog

2. TQMi-Community-Event: Backstage Cybercrime

06.11.2023

27.09.2024 ¦ Zibris - The Room ¦ Rothenburg

⟶

IT-Infrastruktur

Green IT für KMU - Fachartikel im Swiss IT Magazine

19.06.2023

by Tim Candrian by Petra Gianella

Das Thema Nachhaltigkeit und die Verringerung des ökologischen Fussabdrucks haben sich in Unternehmen seit geraumer Zeit zu einem prominenten Diskussionsthema entwickelt und deren Einfluss auf eine positive Reputation nimmt kontinuierlich zu. In Anbetracht der hohen Umweltauswirkungen hat die Technologiebranche ihre Verantwortung erkannt und entsprechende Massnahmen getroffen. Allerdings geht es hier nicht nur um die Verantwortung der Technologiebranche selbst, sondern auch um die Käufer und somit die Kunden, welche die Infrastruktur betreiben und letztendlich um die individuelle Verantwortung jedes Arbeitnehmenden, der von dieser profitiert. Jede einzelne Person trägt dazu bei, indem sie nachhaltige Praktiken unterstützt und Entscheidungen trifft, die den ökologischen Fussabdruck minimieren.

⟶